آموزش وردپرسامنیت
موضوعات داغ

راهنمای جامع امنیت وردپرس (گام به گام)

آموزش افزایش امنیت وردپرس

موضوع امنیت یکی از پر اهمیت ترین موضوعات برای هر مدیر وبسایت است، در هر هفته گوگل بیش از 20000 وبسایت را به دلیل وجود بدافزار و 50000 وب سایت را به دلیل فیشینگ در لیست سیاه خود قرار می دهد! اگر رشد وب سایتتان برایتان یک موضوع مهم است لازم از بهترین روشهای موجود جهت ارتقاء امنیت وب سایت بهره ببرید. در این راهنما ما مهمترین اقدامات امنیتی که می تواند به شما در حفاظت از وب سایت وردپرسی در برابر هکرها و بدافزار کمک کند را آموزش خواهیم داد.

ارتقاء امنیت وردپرس
ارتقاء امنیت وردپرس

در حالی که هسته اصلی وردپرس بسیار امن است، و توسط صدها برنامه نویس بارها و به صورت مرتب بررسی می شود، با اینحال اقدامات فراوانی وجود دارد که می تواند وردپرس را امن تر کند.

ارتقای امنیت می تواند ریسک نفوذ به وبسایت شما را به شدت کاهش دهد. به عنوان یک مدیر سایت شما می توانید اقدامات متعددی جهت ارتقای امنیت وبسایت خود انجام دهید.(حتی اگر شما یک متخصص نیستید!)

ما در این مقاله چند گام قابل اجرا جهت ارتقای امنیت وردپرس به شما ارائه می دهیم.

برای راحتی بیشتر شما فهرستی از محتوای موجود در این صفحه تهیه کرده ایم تا به راحتی بتوانید این مقاله را مرور کنید.

فهرست محتویات این مقاله

مبانی امنیت وردپرس

ارتقای امنیت وردپرس با روشهای ساده و بدون دانش کدنویسی

امنیت وردپرس برای کاربران ماهر

آماده اید شروع کنیم؟

چرا امنیت وب سایت مهم است؟

هک وب سایت وردپرسی شما می تواند آسیب جبران ناپذیری به اعتبار و سودآوری کسب و کار شما وارد نماید. همچنین هکر می تواند اطلاعات کاربران شما را سرقت کند و حتی به پسوردهای آنها دسترسی پیدا کند و حتی نرم افزارهای مخرب را بر روی سیستمهای بازدیدکنندگان شما منتشر و نصب کند.

و بدتر از اینها ممکن است مجبور به پرداخت باج به هکر برای دستیابی به سایت خود شوید!

امنیت وردپرس

در مارس 2016 گوگل گزارش داد،که بش از 50 میلیون بازدید کننده وبسایت، هنگام بازدید از یک سایت اخطاری مبنی بر احتمال سرقت اطلاعاتشان توسط وبسایت مربوطه و یا وجود بدافزار دریافت کرده اند.

علاوه بر این، گوگل در هفته بیش از 20,000 وبسایت را به دلیل دربرداشتن بدافزار و بیش از 50,000 وبسایت را به دلیل phishing در لیست سیاه قرار می دهد.

اگر وبسایت شما متعلق به کسب و کار شما باشد، ضروری است به طور جدی به موضوع امنیت وبسایتتان بپردازید.

همانطور که صاحب یک کسب و کار به امنیت فیزیکی محل کسب و کار خود می پردازد، صاحب یک کسب و کار آنلاین نیز مسئولیت امنیت وبسایت خود را بر عهده دارد.
[ بازگشت به بالا ]

به روز نگهداشتن وردپرس

wpupdates

وردپرس یک نرم افزار متن باز است که به طور مرتب نگهداری و بروزرسانی می شود.به طور پیشفرض وردپرس به طور خودکار بروزرسانی های سبک را انجام می دهد. اما برای آپدیتهای عمده لازم است به طور دستی از طریق پنل مدیریت وردپرس بروزرسانی را اجرا کنید.

همچنین وردپرس دارای هزاران افزونه و قالب است که توسط توسعه دهندگان ثالث تولید میشود و شما از آنها در وبسایت وردپرس خود استفاده می کنید. این پلاگین ها و قالب ها نیز به طور مداوم نگهداری و بروزرسانی می شوند که بروزکردن آنها نیز ضروری است.

این بروز رسانی ها برای امنیت و ثبات وب سایت وردپرسی شما حیاتی است. شما باید همواره اطمینان حاصل کنید که هسته وردپرس شما و نیز افزونه ها و قالبهای نصب شده به روز می باشند.

[ بازگشت به بالا ]

رمزهای عبور قدرتمند و سطح دسترسی کاربران

پسورد قدرتمند و سطح دسترسی کاربران وردپرس

متداول ترین علت هک وبسایت ها سرقت رمز عبور آنها است. شما می‌توانید این کار را با انتخاب کلمات عبور قدرتمند و منحصر بفرد سخت‌تر کنید. نه فقط رمزهای عبور مربوط به وردپرس بلکه رمزهای عبور مربوط به اکانتهای ftp، دیتابیس، اکانت هاستینگ و ایمیل اصلی کاری خود را باید با دقت انتخاب کنید.

مهمترین علتی که کاربران مبتدی تمایلی به انتخاب کلمات عبور قدرتمند ندارند این است که به ذهن سپاری آنها مشکل می باشد. اما خبر خوب این است که شما دیگر نیازی به حفظ پسوردها در ذهن خود ندارید و اکثر مرورگرهای معتبر مثل فایرفاکس و گوگل کروم امکان ذخیره سازی رمزهای عبور را با لحاظ موارد امنیتی به شما می دهند. همینطور امکان سینک کردن این اطلاعات در تمام دیوایسها وجود دارد.

نکته دیگری که باید جهت کاهش ریسک به آن توجه کنید این است که به هیچ عنوان مشخصات اکانت مدیر وبسایت خود را در اختیار دیگری قرار ندهید مگر اینکه واقعا مجبور به این کار باشید. اگر شما یک تیم بزرگ برای اداره وبسایت خود دارید یا از نویسندگان مهمان استفاده می‌کنید. لازم است قبل از هر اضافه کردن کاربر جدید و دادن دسترسی به افراد، اطلاعات کاملی در مورد نقشهای کاربری و قابلیت های این نقش‌ها در وردپرس کسب کنید.

[ بازگشت به بالا ]

نقش سرویس میزبانی وب در امنیت وب سایت وردپرسی

سرویس میزبانی وب شما نقش بسیار مهمی را در امنیت وب سایت وردپرسی شما بازی می‌کند. سروریس دهنده های معتبر اقدامات اضافی را جهت ارتقاء امنیت سرورهای خود و کاهش آسیب پذیری آنها در مقابل حملات معمول انجام می‌دهند.

اما در هر صورت در یک میزبانی اشتراکی شما در استفاده از منابع سرور با بسیاری از کاربران دیگر مشترک هستید. این امر خطر آلودگی متقابل سایت را ایجاد می‌کند، هنگامی که هکر می تواند از یک سایت همسایه برای حمله به وب سایت شما استفاده کند. البته بعضی از سرویس دهنده‌های هاستینگ مثل شرکت تسنیم با استفاده از برخی کانفیگ‌های خاص نرم افزاری و نیز بهره برداری از CloudLinux این ریسک را از بین برده‌اند و در واقع هر اکانت هاستینگ در سرورهای این سرویس دهنده در یک محیط ایزوله فعالیت می‌کند و این امنیت وبسایت شما را به شکل قابل ملاحظه‌ای افزایش می‌دهد.

مقاله ما را در مورد انتخاب بهترین سرویس میزبانی وب مطالعه کنید.

[ بازگشت به بالا ]

تنظیم سطح دسترسی فایل‌ها و فولدرها برای وردپرس

به طور کلی سطح دسترسی فایل‌ها و فولدرها برای وردپرس باید به شکل زیر باشد:

  • Folders – 755
  • Files – 644

این‌ها سطح دسترسی صحیح هستند و وردپرس باید در یک هاست در سروری با کانفیگ صحیح به خوبی با این سطح دسترسی برای فایل‌ها و فولدرها کار کند.

دادن سطح دسترسی بالاتر منجر به افزایش شدید ریسک امنیتی برای سایت وردپرس شما خواهد شد. از دادن سطح دسترسی 777 به فایل‌ها و فولدرها به شدت پرهیز کنید.

برای دستیابی به سطحی بالاتر از امنیت بهتر است سطح دسترسی فایل wp-config.php را که محتوی اطلاعات مهم اتصال به دیتابیس می باشد را بر روی 400 و یا 440 تنظیم نمایید.

[ بازگشت به بالا ]

خودداری از نصب نسخه‌های غیرقانونی و یا نال شده قالب ها و افزونه‌های تجاری وردپرس

متاسفانه با توجه به محدودیت‌های متعددی که کاربرانی ایرانی برای خرید از فروشگاه‌های بین المللی با آن مواجه هستند، دسترسی به نسخه اصلی و قانونی افزونه ها و قالب های تجاری وردپرس همواره به عنوان یک مشکل بزرگ سر راه کاربران قرار دارد. این مشکلات گاهی کاربران را به فکر می‌اندازد تا نسخه‌های غیرقانونی و یا نال شده را از اینترنت دانلود کنند و یا از واسطه‌هایی خرید کنند که همان نسخه غیرقانونی را به اسم نسخه اورجینال به کاربر می‌فروشند.

استفاده از نسخه های غیر قانونی دو مشکل را به همراه دارد:

  • اول اینکه تجربه نشان داده است، این بسته ها در اکثر موارد حاوی تعداد زیادی فایل مخرب و بک دور می‌باشند که را نفوذ به سایت شما و هک آن را در صورت استفاده از این بسته‌ها باز خواهد کرد.
  • دوم اینکه با استفاده از نسخه غیرقانونی امکان آپدیت آسان این پلاگین‌ها و قالب‌ها وجود نخواهد داشت و شما اکثرا از نسخه ای حاوی باگ های امنیتی و غیر امنیتی استفاده خواهید کرد.

علاوه بر دو مورد بالا که بر امنیت سایت شما تاثیر دارند، مورد دیگری که می‌توان از آن نام برد، عدم امکان دریافت پشتیبانی از توسعه دهنده افزونه و قالب خواهد بود.

پس اکیدا توصیه می‌کنیم، یا مستقیما از فروشگاه‌‎ها اقدام به خرید نسخه اصلی کنید و یا از واسطه‌های مطمئن کمک بگیرید.

ما در وردپرس استارت بزودی جهت حمایت از کاربران ایرانی سرویس خرید نسخه‌های اورژینال قالب و پلاگین را ارائه خواهیم داد. در خبرنامه ما عضو شوید و در جریان آخرین اخبار قرار بگیرید.

 

[ بازگشت به بالا ]

ارتقای امنیت وردپرس با روشهای ساده و بدون دانش کدنویسی

میدانیم که ارتقا امینت وردپرس میتواند برای مبتدیان سخت بنظر بیاید. مخصوصا برای کاربرانی که دانش فنی از کدنویسی ندارند.
اما جای هیچ‌گونه نگرانی وجود ندارد ما به کاربران مبتدی زیادی در جهت انجام این کار کمک کرده‌ایم. اکنون به شما نیز کمک میکنیم تا تنها با چند کلیک و بدون نیاز به دانش فنی، به‌سادگی امنیت سایت خود را بالا ببرید.

نصب یک ابزار بکاپ‌گیری برای وردپرس

اهمیت نصب افزونه پشتیبان‌گیری برای سایت وردپرس
اهمیت نصب افزونه پشتیبان‌گیری برای سایت وردپرس

بکاپ‌ها اولین دل‌گرمی شما بعد از اتک‌ها هستند. به یاد داشته باشید هیچ سایتی 100% ایمن نیست، وقتی سایت های دولتی مورد حمله و هک قرار میگیرند سایت شما نیز ممکن است مورد این گونه حملات قرار بگیرد.
زمانی که اتفاق بدی برای سایتتان افتاد بکاپ‌ها به شما امکان بازگردانی سریع سایتتان را به زمان پیش از این اتفاق میدهند.

استفاده از یک سرویس میزبانی مطمئن که از اطلاعات وب‌سایت شما به طور منظم بکاپ تهیه می‌کند گزینه بسیار خوبی است، اما در کنار آن لازم است خود شما نیز از دیتای خود بکاپ تهیه نمایید.
پلاگین های بکاپ رایگان و پولی زیادی وجود دارد که میتوانید از آنها استفاده کنید. مهمترین مسئله ای که در بکاپ‌گیری وجود دارد این است که بکاپ خود را در جایی به‌جز اکانت هاستینگ خود ذخیره و نگهداری کنید.
ما توصیه میکنیم بکاپ خود را روی یک سرویس فضای ابری مانند amazon، dropbox یا فضاهای ابری شخصی مانند Stash نگهداری کنید.
انتخاب بازه زمانی برای بکاپ‌گیری براساس اینکه هرچند وقت یکبار سایت خود را بروزرسانی میکنید، متفاوت است و میتواند روزی یکبار، کمتر یا بیشتر انجام شود.
خوشبختانه این بکاپ‌گیری توسط پلاگین‌هایی مانند VaultPress یا BackupBuddy به‌سادگی انجام میشود. هردو پلاگین قابل اطمینان هستند و مهمتر اینکه بدون دانش کدنویسی بکار گرفته میشوند.
[ بازگشت به بالا ]

بهترین پلاگین های امنیت برای وردپرس

پس از بکاپ‌گیری، کاری که باید انجام دهید این است که یک سیستم رسیدگی و نظارت (monitoring) داشته باشید تا هر گونه فعالیتی را که روی سایت شما انجام میگیرد دنبال کند.
این نظارت ها شامل نظارت بر درستی فایل‌ها، تلاش‌های ناموفق هنگام ورود به سایت، اسکن بدافزارها و … میشود.
پلاگین Sucuri بهترین پلاگین امنیتی رایگانی است که میتواند تمام این نظارت‌ها را به بهترین شکل ممکن انجام دهد.
تنها کاری که لازم است انجام دهید این است که پلاگین امنیتی رایگان Sucuri را نصب و راه‌اندازی کنید. اگر به انجام این کار آشنایی ندارید میتوانید راهنمای ما درمورد نحوه نصب یک پلاگین را مطالعه کنید.
پس از فعالسازی، لازم است که به منو پلاگین Sucuri در ناحیه مدیریت وردپرس بروید.

تنظیمات افزونه امنیتی سوکوری
تنظیمات افزونه امنیتی سوکوری

اولین چیزی که از شما خواسته میشود، ایجاد یک کلید API رایگان است. این کلید، امکان رسیدگی به تلاش های ورود، هشدارهای ایمیل و سایر ویژگی های مهم را فراهم میکند.

تنظیم کلید api برای sucuri
تنظیم کلید api برای sucuri

کار بعدی که باید انجام بدهید کلیک روی تب Hardening از منوی Sucuri است. پس از رفتن به این تب روی دکمه Harden کلیک کنید. این گزینه ناحیه‌های کلیدی که هکرها اغلب در حملات خود از آنها استفاده میکنند را قفل میکند. تنها ویژگی گزینه Hardening که نیاز به ارتقاء پلاگین به نسخه پولی دارد، Web Application Firewall (دیوار آتش برنامه وب) است که در مرحله بعد درمورد آن توضیح خواهیم داد بنابراین فعلا از توضیح آن صرف نظر میکنیم.
در قبسمت های دیگر این مقاله ویژگی های دیگر گزینه Hardening را برای کاربرانی که میخواهند این کار را بدون استفاده از پلاگین، یا کسانی که میخواهند اقدام های بیشتری مانند تغییر پسوند دیتابیس یا تغییر نام کاربری مدیریت را انجام دهند معرفی میکنیم.
بعد از گزینه Hardening تنظیمات سایر گزینه‌های این پلاگین مناسب هستند و نیازی به تغییر دادن آنها نیست. تنها چیزی که توصیه میکنیم که آن را سفارشی کنید، هشدارهای ایمیل است.
تنظیمات هشدار پیش فرض فقط زمان دریافت ایمیل در اینباکس هشدار میدهد. توصیه میکنیم هشدارهای ایمیل را برای فعالیت‌های کلیدی مانند تغییرات در پلاگین ها، ثبت کاربر جدید و … فعال کنید. پیکربندی تنظیمات ایمیل را میتوانید از آدرس Settings » Alerts در منوی Sucuri بیابید.

تنظیمات ایمیل در افزونه امنیتی sucuri
تنظیمات ایمیل در افزونه امنیتی sucuri

این پلاگین امنیتی وردپرس ویژگی های قدرتمندی دارد بنابراین توصیه میکنیم تمام برگه ها و تنظیمات را برای یافتن ویژگی های بیشتر مانند اسکن بدافزارها، بررسی لاگ‌ها، تلاش‌های ناموفق برای ورود، ردیابی و … مرور کنید.

[ بازگشت به بالا ]

فعالسازی Web Application Firewall

آسانترین راه برای محافظت از سایت و اطمینان به امنیت وردپرس، استفاده از یک WAF یا web application firewall است. فایروال تمام ترافیک های مخرب را حتی قبل از رسیدن به سایتتان بلاک میکند.

تاثیر دیوار آتش برنامه وب در امنیت وردپرس
تاثیر دیوار آتش برنامه وب در امنیت وردپرس

ما استفاده از Cloudflare را بعنوان بهترین برنامه WAF برای وردپرس توصیه میکنیم.
[ بازگشت به بالا ]

امنیت وردپرس برای کاربران ماهر

اگر تمام نکاتی که تاکنون مطرح کردیم را انجام داده باشید اکنون در وضعیت مطلوبی قرار دارید.
اما هرچه از نظر امنیتی اقدامات بیشتری انجام دهید دسترسی به سایتتان سخت‌تر خواهد بود.
برخی از این اقدامات ممکن است نیاز به دانش کد نویسی داشته باشد.

تعییر نام کاربری پیش فرض “admin”

در گذشته، نام کاربری پیش فرض برای ورود به ناحیه مدیریت وردپرس admin بود. بدین جهت که نام کاربری نیمی از احراز هویت ورود به سایت است، انتخاب نام admin بعنوان نام کاربری، اقدامات مخرب را برای هکرها هموارتر میکرد.
خوشبختانه، وردپرس اکنون این نام کاربری را تغییر داده و هنگام نصب وردپرس از شما میخواهد خودتان نام کاربری دلخواه را وارد کنید.
با این حال برخی از کسانی که میخواهند نصب وردپرس را خیلی سریع انجام دهند ممکن است admin را بعنوان نام کاربری مدیر وبسایت وارد کنند.
به این دلیل که وردپرس بطور پیش فرض اجازه نمیدهد نام کاربری انتخاب شده‌ی خود را تغییر دهید، برای انجام این کار سه راهکار پیش رویتان قرار دارد:

1- یک کاربر جدید بعنوان مدیر تعریف کنید و قبلی را پاک کنید

2- از یک پلاگین برای تغییر نام کاربری استفاده کنید

3- نام کاربری خود را بوسیله phpMyAdmin تغییر دهید.

ما تمام این راهکارها را در مقاله آموزش تغییر نام کاربری وردپرس بصورت مرحله به مرحله توضیح داده ایم.
توجه: در اینجا صحبت از نام کاربری “admin” است آن را با نقش کاربری administrator اشتباه نگیرید.

[ بازگشت به بالا ]

غیرفعالسازی ویرایش فایل

وردپرس ویرایشگر کدی دارد که بوسیله آن میتوانید قالب‌ها و پلاگین‌های خود را در ناحیه مدیریت ویرایش کنید. اما این ویژگی میتواند خطرات امنیتی برای سایت شما داشته باشد به همین خاطر توصیه ما این است که آن را غیرفعال کنید.

غیرفعال کردن ادیت فایل های وردپرس
غیرفعال کردن ادیت فایل های وردپرس

برای انجام این کار خیلی ساده کد زیر را در فایل wp-config.php خود جایگذاری کنید.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

 

یا میتوانید این کار را بوسیله یک کلیک در ویژگی های hardening در پلاگین sucuri که در بالا درمورد آن توضیح دادیم، انجام دهید.

[ بازگشت به بالا ]

غیرفعال‌سازی اجرای فایل php در دایرکتوری های خاص وردپرس

اقدام دیگری که برای بالابردن امنیت سایت خود میتوانید انجام دهید این است که اجرای فایل های php را در دایرکتوری های خاصی که نیازی به اجرای کدهای php ندارند( مانند فولدر uploads) غیر فعال کنید.
برای انجام این کار میتوانید یک فایل ویرایشگر متن مانند notepad باز کنید و کد زیر را در آن جاگذاری کنید:

<Files *.php>
deny from all
</Files>

 

سپس این فایل را باید با پسوند .htaccess ذخیره کنید و با استفاده از FTP Client آن را در دایرکتوری که میخواهید اجرای php در آن غیرفعال شود (مانند uploads ) آپلود کنید.
همچنین میتوانید این کار را نیز تنها با یک کلیک در ویژگی های hardening پلاگین sucuri انجام دهید.
[ بازگشت به بالا ]

محدودیت تلاش برای ورود

بطور پیش‌فرض، وردپرس به کاربران اجازه میدهد هرتعداد بار که دلشان بخواهد برای ورود با نام کاربری و پسورد های مختلف تلاش کنند. این مسئله باعث آسیب‌پذیر شدن سایت شما دربرابر حملات و اتک‌ها میشود. هکرها تلاش میکنند با امتحان ترکیب‌های مختلف نام کاربری و رمز عبور به سایت شما دسترسی پیدا کنند.
این موضوع میتواند به‌سادگی با استفاده از قراردادن محدودیت در تعداد دفعات تلاش ناموفق برای دسترسی به سایت تغییر پیدا کند. اگر همانطور که در بالا توصیه کردیم از WAF استفاده کنید، فایروال بصورت خودکار این کار را برای شما انجام میدهد.
اما اگر از فایروال استفاده نمیکنید، راه‌های دیگری نیز برای انجام این کار وجود دارد.
اولین کاری که لازم است انجام دهید نصب و راه اندازی پلاگین Login LockDown است.( آموزش نصب و راه اندازی یک پلاگین).
پس از فعال‌سازی به مسیر Settings » Login LockDown (تنظیمات » Login LockDown) جهت انجام تنظیمات پلاگین بروید.

تنظیمات افزونه امنیتی login lockdown
تنظیمات افزونه امنیتی login lockdown

برای اطلاع دقیقتر از نحوه انجام این کار راهنمای ما درمورد اینکه چرا و چگونه تعداد دفعات ورود ناموفق به سایت را محدود کنیم را مطالعه کنید.
[ بازگشت به بالا ]

تغییر پیشوند دیتابیس وردپرس

بطور پیش‌فرض، وردپرس از پیشوند wp_ برای تمام جداول دیتابیس وردپرس استفاده میکند. اگر سایت وردپرس شما از پیشوند پیش‌فرض دیتابیس استفاده کند، حدس زدن نام جداول برای هکرها آسان میشود. به همین دلیل است که ما توصیه میکنیم آن‌را تغییر دهید.
شما میتوانید این کار را با مطالعه مقاله آموزش تغییر مرحله به مرحله پیشوند جداول دیتابیس به آسانی تغییر دهید.
توجه: این کار اگر کامل انجام نشود ممکن است باعث ایجاد مشکل در سایت شود.
[ بازگشت به بالا ]

محافظت از ناحیه مدیریت و صفحه ورود وردپرس با استفاده از پسورد

رمز عبور اضافی برای صفحه ورود وردپرس
رمز عبور اضافی برای صفحه ورود وردپرس

بطور معمول، هکرها میتوانند صفحه wp-admin و صفحه ورود را بدون محدودیت ببینند. این کار به آنها امکان تلاش برای اجرای ترفندها و اتک‌های DDoS را میدهد.
شما میتوانید یک لایه پسورد اضافی را در سرور اضافه کنید تا بصورت موثر این درخواست‌ها بلاک شوند.
برای کسب اطلاعات بیشتر در این مورد میتوانید مقاله ما درمورد اینکه چطور با استفاده از پسورد از دایرکتوری مدیریت وردپرس محافظت کنید را مطالعه فرمایید.
[ بازگشت به بالا ]

غیرفعالسازی ایندکس و مرور دایرکتوری

غیرفعال کردن ایندکس و مرور فولدرها در سایت وردپرس
غیرفعال کردن ایندکس و مرور فولدرها در سایت وردپرس

هکرها میتوانند از مرور دایرکتوری برای یافتن فایل آسیب پذیر و استفاده از آن جهت دسترسی به سایت، استفاده کنند.
همچنین مرور دایرکتوری میتواند فایل‌ها، تصاویر کپی و در کل ساختار دایرکتوری شما و سایر اطلاعات را به سایرین نشان دهد. به همین دلیل است که توصیه میکنیم ایندکس و مرور دایرکتوری را غیرفعال کنید.
برای انجام این کار لازم است با استفاده از FTP به وبسایت خود متصل شوید یا به قسمت فایل منیجر در سی پنل مراجعه کنید. سپس فایل .htaccess که در دایرکتوری ریشه وبسایتتان است را بیابید.
پس از انجام این کار لازم است خط زیر را در خط آخر فایل .htaccess جاگذاری کنید:

 Options –Indexes

 

فراموش نکنید تغییرات انجام شده را ذخیره کنید و سپس فایل .htaccess را مجددا به سایت خود برگردانید. برای کسب اطلاعات دقیقتر از نحوه انجام این کار، راهنمای کامل ما درمورد غیرفعال‌سازی ایندکس و مرور دایرکتوری در وردپرس را مطالعه کنید.
[ بازگشت به بالا ]

غیرفعال‌سازی XML-RPC در وردپرس

XML-RPC بطور پیش‌فرض از وردپرس 3.5 به بعد فعال است زیرا به اتصال سایت وردپرس شما به وب و اپلیکیشن موبایل کمک میکند.
به هرحال به علت ماهیتی که XML-RPC دارد میتواند حملات مخرب به سایت را به شکل قابل توجهی تقویت کند.
برای مثال، اگر یک هکر بخواهد 500 رمز عبور مختلف را روی وبسایت امتحان کند، لازم است 500 بار برای ورود به سایت با این پسوردها تلاش کند که بوسیله پلاگین‌های امنیتی بلاک میشود.
اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران رمز عبور با 20 یا 50 درخواست استفاده کند. به همین دلیل است که توصیه میکنیم اگر نیاز جدی به آن احساس نمیکنید آن را غیرفعال کنید.
3 راه برای غیرفعال‌سازی XML-RPC در وردپرس وجود دارد، ما همه این راه ها را بصورت کامل در مقاله غیرفعال‌سازی XML-RPC توضیح داده ایم.
نکته: روش .htaccess از سایر روش‌ها بهتر است زیرا منابع کمتری را مورد استفاده قرار میدهد.
اگر از WAF استفاده میکنید، فایروال بصورت خودکار درمورد XML-RPC مراقب است و نیازی به غیرفعال‌سازی دستی آن نیست.

[ بازگشت به بالا ]

خروج کاربران غیرفعال در وردپرس

گاهی اوقات کاربران لاگین شده به سایت، میتوانند از سیستم خود دور شوند و این یک خطر امنیتی به حساب می‌آید. در این حالت ممکن است شخصی دیگر session آنها را بدزد، پسورد آنها را تغییر دهد یا تغییراتی در حساب کاربری ایجاد کند.
به همین دلیل است که بسیاری از سایت‌های بانکی و تراکنش مالی بصورت خودکار کاربران غیرفعال را خارج میکنند. شما نیز میتوانید به همین شیوه در وبسایت خود عمل کنید.
اولین کاری که نیاز است انجام دهید نصب پلاگین Idle User Logout است. پس از فعال سازی به مسیر تنظیمات» Idle User Logout جهت پیکربندی پلاگین بروید.

تنظیمات پلاگین امنیتی Idle User Logout
تنظیمات پلاگین امنیتی Idle User Logout

خیلی ساده زمان مورد نظر خود را تنظیم کنید و تیک باکس Disable in wp admin را برای امنیت بیشتر بردارید. اگر جزئیات بیشتری از این مطلب میخواهید مقاله ما درمورد نحوه خروج اتوماتیک کاربران غیرفعال در وردپرس را مطالعه کنید.

[ بازگشت به بالا ]

فعال سازی احراز هویت دو مرحله ای

اگر به هر دلیلی رمز عبور شما توسط شخص دیگری کشف شد استفاده از امکان احراز هویت دو مرحله‌ای در وردپرس می‌تواند امنیت وب‌سایت شما را به مقدار قایل توجهی افزایش دهد.

جلوگیری از حمله‌های brute force attacks که هکرها از آن‌ها برای کشف نام کاربری و رمز عبور شما استفاده می‌کنند نیز از مزایای فعال سازی این امکان است.

ما از افزونه Two Factor Authentication وردپرس در کنار اپلیکیشن گوگل برای تلفن همراه به نام Google Authenticator که برای اندروید و ios در دسترس است، برای اضافه کردن امکان ورود دو مرحله ای به وردپرس استفاده می‌کنیم.

این افزونه با بهره گیری از اپلیکیشن تلفن های همراه گوگل کار می کند و با تولید یک کد در هر 60 ثانیه، که دقیقا در همان لحظه نیاز به ثبت کد دریافتی از اپلیکیشن برای ورود را دارد ، مرحله دوم احراز هویت را به وردپرس شما اضافه می‌کند.

پس، با این افزونه برای هربار ورود در سیستم، باید دسترسی به تلفن همراه داشته باشید که امنیت را فوق العاده بالا خواهد برد.

جهت فعال سازی این امکان آموزش فعال سازی احراز هویت دو مرحله ای در وردپرس ما را مطالعه نمایید.

[ بازگشت به بالا ]

افزودن سولات امنیتی به صفحه لاگین وردپرس

اضافه کردن سوالات امنیتی به وردپرس
اضافه کردن سوالات امنیتی به وردپرس

افزودن سوالات امنیتی به صفحه ورود وردپرس حتی احراز هویت برای ورود را سخت میکند.
شما میتوانید سوالات امنیتی را بوسیله نصب پلاگین WP Security Questions به سایت خود اضافه کنید. پس از فعال‌سازی، لازم است به مسیر تنظیمات »Security Questions بروید تا تنظیمات پلاگین را انجام دهید.
همچنین میتوانید مقاله ما درمورد نحوه افزودن سوالات امنیتی به وردپرس را مطالعه کنید.
[ بازگشت به بالا ]

بازسازی یک سایت هک شده

بسیاری از کاربران وردپرس ضرورت بکاپ‌گیری و امنیت وبسایت را تا زمانی که وبسایت هک نشده نمیدانند.
پاک‌سازی یک سایت وردپرس میتواند بسیار سخت و زمان‌بر باشد. اولین توصیه ما این است که مانند یک حرفه‌ای درمورد امنیت سایت خود حساس باشید.
هکرها backdoor ها را در سایت‌های هک شده قرار میدهند تا اگر یک بار راه ورود آنها را پیدا کردید بتوانند مجددا به سایت برگردند.
اگر کار پاک سازی سایت را به یک کمپانی معتبر مانند تسنیم بسپارید میتوانید مطمئن باشید که سایتتان برای استفاده مجدد امن است.

[ بازگشت به بالا ]
امیدواریم این مقاله جهت افزایش آگاهی شما در مورد امنیت وبسایت مفید بوده باشد. در پایان پیشنهاد می‌کنیم دیگر مقالات مرتبط با امنیت را نیز مطالعه نمایید.

< آخرین آموزش‌های پایگاه دانش تسنیم را در تلگرام دنبال کنید >

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا